Auftragsverarbeitungsvertrag
Muster: Checkliste und Leitfaden nach DSGVO
Wer personenbezogene Daten durch externe Dienstleister verarbeiten
lässt, muss einen Auftragsverarbeitungsvertrag abschließen — und das,
bevor die Verarbeitung beginnt.
Was ist ein
Auftragsverarbeitungsvertrag?
Der Auftragsverarbeitungsvertrag (kurz: AVV) ist ein verbindlicher
Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter.
Er regelt, wie personenbezogene Daten im Auftrag verarbeitet werden
dürfen. Rechtsgrundlage ist Art. 28 DSGVO.
Typische Situationen, in denen ein AVV erforderlich ist:
- Cloud-Dienste und SaaS-Plattformen (z. B. CRM, HR-Software)
- E-Mail-Marketing-Dienstleister
- IT-Outsourcing und Systembetreuung
- Lohnbuchhaltung durch externe Steuerberater
- Datenanalyse und Auswertung durch Dritte
Fehlt der AVV oder ist er unvollständig, liegt ein Datenschutzverstoß
vor. Die Aufsichtsbehörden können das mit Bußgeldern ahnden.
Was
muss ein Auftragsverarbeitungsvertrag Muster enthalten?
Art. 28 DSGVO definiert die Mindestinhalte verbindlich. Ein
rechtssicheres Auftragsverarbeitungsvertrag Muster
deckt alle folgenden Punkte ab:
Pflichtbestandteile nach
Art. 28 DSGVO
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten (z. B.
Kontaktdaten, Gesundheitsdaten) - Kategorien betroffener Personen (z. B. Kunden,
Mitarbeitende) - Pflichten und Rechte des Verantwortlichen
Darüber hinaus muss der AVV regeln:
- Weisungsgebundenheit des Auftragsverarbeiters
- Vertraulichkeitspflichten der eingesetzten Personen
- Technische und organisatorische Maßnahmen (TOMs) nach Art. 32
DSGVO - Bedingungen für den Einsatz von
Unterauftragsverarbeitern - Unterstützungspflichten bei Betroffenenanfragen und
Datenschutzverletzungen - Lösch- und Rückgabepflichten nach Vertragsende
- Audit- und Kontrollrechte des Verantwortlichen
Checkliste: AVV
DSGVO — vor Vertragsschluss prüfen
Vor der Unterzeichnung eines AVV sollten Unternehmen diese Punkte
systematisch durchgehen:
Zum Auftragsverarbeiter: – [ ] Ist der Dienstleister
tatsächlich ein Auftragsverarbeiter — oder ein eigenverantwortlicher
Verantwortlicher? – [ ] Bietet er nachweisbare Garantien für die
Datensicherheit (z. B. ISO 27001, Zertifizierung)? – [ ] Sind die
technischen und organisatorischen Maßnahmen konkret beschrieben und
ausreichend?
Zum Vertragsinhalt: – [ ] Sind Gegenstand, Zweck und
Dauer der Verarbeitung klar definiert? – [ ] Sind die Datenkategorien
und betroffenen Personengruppen vollständig aufgeführt? – [ ] Ist die
Weisungsbindung eindeutig formuliert? – [ ] Sind
Unterauftragsverarbeiter genehmigt oder mit Verfahren zur Genehmigung
geregelt? – [ ] Sind Informations- und Meldepflichten bei Datenpannen
enthalten? – [ ] Sind Audit-Rechte und Kontrollpflichten geregelt?
Zu Drittlandsübermittlungen: – [ ] Werden Daten
außerhalb der EU/des EWR verarbeitet? – [ ] Gibt es einen
Angemessenheitsbeschluss oder geeignete Garantien (z. B.
Standardvertragsklauseln)? – [ ] Wurde ein Transfer Impact Assessment
(TIA) durchgeführt?
Nach Vertragsende: – [ ] Ist geregelt, ob Daten
zurückgegeben oder gelöscht werden? – [ ] Sind Fristen und Nachweise für
die Löschung festgelegt?
Häufige Fehler in der Praxis
Wir sehen in unserer Beratung immer wieder dieselben
Schwachstellen:
Veraltete AVV-Vorlagen. Viele Unternehmen verwenden
Muster, die noch auf die DSGVO-Einführung 2018 zurückgehen und neuere
Anforderungen — etwa nach den EuGH-Urteilen zu Drittlandstransfers —
nicht berücksichtigen.
Fehlende oder pauschal beschriebene TOMs. Der
Verweis auf „branchenübliche Sicherheitsmaßnahmen” reicht nicht. Die
TOMs müssen konkret und prüfbar sein.
Unterauftragsverarbeiter ohne Genehmigung. Nutzt ein
Dienstleister Sub-Dienstleister, ohne dass der Verantwortliche
zugestimmt hat, verletzt das den AVV.
Kein AVV, weil man es vergessen hat. Besonders bei
langjährigen Dienstleistern fehlt der AVV häufig schlicht — oder er
wurde nie aktualisiert.
Auftragsverarbeitungsvertrag
Muster: Eigene Vorlage oder individuelle Gestaltung?
Ein allgemeines Muster bietet einen Ausgangspunkt. Es ersetzt jedoch
keine individuelle Prüfung.
Standardmuster aus dem Internet decken oft nicht ab:
- branchenspezifische Besonderheiten (z. B. Gesundheitsdaten,
Behörden) - komplexe Verarbeitungsszenarien mit mehreren
Unterauftragsverarbeitern - aktuelle Anforderungen an Drittlandstransfers
Wir empfehlen: Nutzen Sie ein Muster als Grundlage — lassen Sie es
aber von einem Datenschutzexperten an Ihre konkrete Situation
anpassen.
Fazit
Ein AVV nach Art. 28 DSGVO ist keine Formalität — er ist ein
wirksames Instrument, um Verantwortung klar zu verteilen und Risiken zu
begrenzen. Wer hier sorgfältig arbeitet, schützt nicht nur das
Unternehmen, sondern auch die Betroffenen, deren Daten verarbeitet
werden.
Die Checkliste oben hilft bei der ersten Einschätzung. Für eine
rechtssichere Umsetzung empfehlen wir eine individuelle Prüfung
bestehender Verträge — besonders wenn Dienstleister außerhalb der EU
eingesetzt werden.
Sie benötigen Unterstützung?
Die e|s|b data gmbh berät seit über 25 Jahren Unternehmen, Behörden
und internationale Konzerne zu allen Fragen des Datenschutzes und
IT-Rechts. Wir prüfen Ihre bestehenden Auftragsverarbeitungsverträge,
entwickeln rechtssichere Muster für Ihre spezifische Situation und
unterstützen Sie bei der vollständigen Umsetzung der
DSGVO-Anforderungen.
Sprechen Sie uns an — wir helfen konkret und ohne
Umwege.
Meta: Auftragsverarbeitungsvertrag Muster nach
DSGVO: Pflichtinhalte, Checkliste und häufige Fehler. Rechtssichere
AVV-Gestaltung mit e|s|b data gmbh.